jam*_*al 34 google-chrome http hsts
当我有响应标题时,我很难找到它意味着什么 Non-Authoritative-Reason : HSTS
我已经搜索了很多,但只是想出了一些关于HSTS的解释(从HTTP重定向到HTTPS).任何人都可以帮助我吗?顺便说一句,我正在使用Chrome.
谢谢
Bar*_*ard 56
您尝试连接的服务器使用严格传输安全性(HSTS)来确保仅对此站点使用https而不是默认http.
这意味着如果您输入http://www.servername.com,则Chrome会自动将其转换为https://www.servername.com.
这是一种防止使用http的安全功能,http是未加密的,可由黑客读取和更改.这可以通过服务器设置Chrome(通过响应请求发送的特殊HTTP标头)来设置它使用HSTS.然后Chrome会根据该标头中的max-age值定义给定的时间内缓存此设置.此外,网站所有者可以将自己的网站提交到自动包含在Chrome中的预加载列表 - 这样即使是第一次访问也可以保护,因为通常您需要访问该网站以接收标题以激活它.
Chrome在网络标签中显示的方式是创建一个虚拟307响应,并重定向到https版本的地址.但这是一个虚假的回应而且不是由服务器生成的 - 事实是Chrome在请求甚至进入服务器之前就在内部做了.
要清除网站的此设置,您可以在Chrome的网址字段中输入以下内容:chrome://net-internals/#hsts然后搜索您的网站并将其删除.您也可以在顶级域中设置此项并包含子域,以便您可能需要从中删除.或者,您可以更改服务器配置以发布最大年龄为0的标头,然后重新访问该网站以清除此标题,然后停止发布标头,这对于其他浏览器来说可能会有所帮助,因为这些浏览器不太容易清除.
请注意,如果站点位于预加载列表中,则无法清除此设置,因为它嵌入在Web浏览器的代码中.网站所有者可以提交要从预加载列表中删除的请求,但这需要几个月的时间才能完成Chrome的发布周期,而且其他浏览器没有明确的时间表.出于安全原因,Chrome也无法覆盖预加载的设置.
BazzaDP 答案的一些附加信息......
在Non-Authoritative-Reason : HSTS响应中返回是不是你已经配置,而是Chrome浏览器本身。由于 Chrome 劫持了请求,Chrome 还将添加此特定标头以告知 HSTS 已启用。查看网络选项卡,您将看到带有此标头集的假 307 响应。
由于您Strict-Transport-Security在服务器上包含了标头,因此所有这些都已完成。
如果你想全力以赴,这里是HSTS 预加载列表
| 归档时间: |
|
| 查看次数: |
16437 次 |
| 最近记录: |